Dark Tequila, ha estado atacando a usuarios en México al menos durante los últimos cinco años, robando credenciales bancarias, datos personales y corporativos con malware que puede moverse lateralmente a través del ordenador de la víctima estando desconectado. Según Kaspersky Lab,el código malicioso se propaga a través de dispositivos USB infectados y por spear phishing, un tipo de ataque cibernético que se caracteriza por ser dirigido a un individuo, en lugar de ser generalizado. Se cree que el código malicioso localizado parece haber sido creado por alguna persona o grupo hispanohablante y latinoamericano.
Dark Tequila y su infraestructura de soporte son inusualmente sofisticados para las operaciones de fraude financiero. La amenaza se centra en robar información financiera, pero una vez dentro de un ordenador también transfiere credenciales a otros sitios, incluidos sitios web populares, recolección de direcciones comerciales y personales de correo electrónico, registros de dominio, cuentas de almacenamiento de archivos y otros, posiblemente para venderse o usarse en futuras operaciones. Entre los ejemplos disponibles se incluyen los clientes de correo electrónico de Zimbra y las web de Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox, RackSpace y otros.
Una vez dentro del ordenador, entra en contacto con un servidor de comando para recibir instrucciones. La carga útil se entrega a la víctima solo cuando se cumplen ciertas condiciones técnicas de la red. Si el malware detecta una solución de seguridad instalada, una actividad de supervisión de red o indicios de que la muestra se ejecuta en un entorno de análisis como un entorno limitado virtual, detiene la rutina de infección y se borra del sistema. Si no se encuentra nada de esto, el malware activa la infección local y copia un archivo ejecutable en una unidad extraíble para que se ejecute automáticamente. Esto permite que se mueva offline a través de la red de la víctima, incluso cuando solo un equipo se hubiera visto comprometido inicialmente a través de spear-phishing. Cuando conecta otro USB al ordenador infectado, éste se infecta automáticamente y está listo para propagar el malware a otro objetivo.
El implante malicioso contiene todos los módulos necesarios para la operación, incluido un registrador de claves y la aplicación de supervisión de Windows para capturar detalles de inicio de sesión y otra información personal. Cuando el servidor de comando de las órdenes, los diferentes módulos se descifrarán y activarán. Todos los datos robados se envían al servidor cifrados.
Dark Tequila lleva funcionando desde al menos 2013, atacando a usuarios en México o conectados con ese país. Según Kaspersky Lab, la presencia en el Código de palabras en español y la evidencia del conocimiento local sugieren que la amenaza detrás de la operación proviene de América Latina.
C.